Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Humanresourcemanagement

Informatiebeveiliging

advertisement 
Informatiebeveiliging:
Een goed begin, is het
halve werk
Maart 2016: verschillende media besteden aandacht aan een zaak bij het Antoni van
Leeuwenhoekziekenhuis (AvL). Een onderzoeker bleek de medische gegevens van 780 patiënten
onversleuteld te hebben gekopieerd naar een harde schijf. Het gevolg? De harde schijf werd gestolen uit
een auto. Het AvL deed melding van een datalek bij de Autoriteit Persoonsgegevens (AP) en lichtte de
patiënten in.
Vertrouwelijke medische gegevens van ruim 158.000 Nederlanders en Belgen hebben op straat gelegen
door fouten van verschillende partijen. Wat gaat hier mis? Het niet op orde hebben van uw
informatiebeveiliging vergroot de kans op datalekken, met alle risico’s van dien. Het is dus zaak dat
(zorg)instellingen zich serieuzer gaan verdiepen in de materie van informatiebeveiliging en datalekken in
het bijzonder. Maar wat is informatiebeveiliging en wat is een datalek? Hoe kunt u zelf optreden? Maar
belangrijker, hoe valt het te voorkomen? Na het lezen van dit interview met Paul Somberg bent u helemaal
op de hoogte.
Vanwaar zo veel interesse voor informatiebeveiliging?
‘’Op 1 januari 2016 is de Meldplicht Datalekken ingegaan. Het verlies van patiëntgegevens is daarmee
duur geworden. Boetes kunnen oplopen tot 810.000 euro of zelfs 10% van de jaaromzet. Maar dat is niet
alles. Het niet melden van datalekken door een organisatie of instelling, aan zowel de Autoriteit
Persoonsgegevens (AP) als de slachtoffers, is strafbaar. De reputatieschade kan enorm zijn en toch zijn er,
naar mijn mening, nog veel organisaties en/of instellingen die hier niet genoeg aandacht aan besteden.’’
Hoe werkt informatiebeveiliging?
‘’Een ketting is zo sterk als zijn zwakste schakel. In (zorg)instellingen worden veel privacygevoelige
gegevens verwerkt én uitgewisseld. Informatiebeveiliging gaat naar mijn mening in de breedste zin van
het woord over de betrouwbaarheid van de informatievoorziening van een gehele organisatie. De
beveiliging van informatie heeft het doel om risico’s met betrekking tot privacygevoelige gegevens tot een
acceptabel niveau terug te brengen. Wat is hiervoor nodig? Allereerst een evenwichtig stelsel van
maatregelen. Deze maatregelen zijn divers van aard en verspreid over alle onderdelen en hiërarchische
niveaus van een organisatie of instelling.’’
1
Die maatregelen reiken dus verder dan alleen een goede software en ICT-infrastructuur?
‘’Ja, ook zaken zoals toegangsbeleid, personeel, beleid- en bureauveiligheid zijn net zo belangrijk.
Informatiebeveiliging is daarmee niet alleen het domein van de afdeling I&A. Informatiebeveiliging omvat
alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. U
zou denken dat procedurele en technische maatregelen van belang zijn bij informatiebeveiliging, maar het
gedrag van mensen is misschien nog wel belangrijker.’’
‘’Allereerst is het belangrijk aan te geven dat informatiebeveiliging geen garanties geeft dat fouten
worden voorkomen. Het laat echter wel zien dat een organisatie of instelling goed naar de mogelijke
risico’s heeft gekeken die er zijn bij het verwerken van (gevoelige) informatie. Op basis van die risico’s
worden een aantal maatregelen en bijbehorende processen gedefinieerd, ingevoerd en geborgd. Het niet
op orde hebben van de informatiebeveiliging, zorgt uiteindelijk voor een vergrote kans op een datalek.
Het gaat dus om een oorzaak-gevolg principe. Een datalek is een inbreuk op de beveiliging. Deze inbreuk
leidt tot de aanzienlijke kans op ernstige of nadelige gevolgen voor de bescherming van privacygevoelige
gegevens en daarmee ook op reputatieschade voor een organisatie of instelling.’’
Om het proces van informatiebeveiliging – en de certificering daarvan – te professionaliseren, is de
internationale ISO 27001 in het leven geroepen: ook wel dé certificering op gebied van
informatiebeveiliging.
Wanneer is de kans op een datalek op zijn grootst?
‘’Zowel bewust als onbewust kunnen medewerkers een datalek veroorzaken. Het is daarom belangrijk om
toegangsrollen toe te kennen en strikte procedures en autorisatie toe te passen. Zoals eerder gezegd, is
de bewustwording onder alle medewerkers niet iets om te onderschatten! Vaak gaat het om
onwetendheid of het niet kunnen inschatten van de gevolgen van bepaalde acties van medewerkers. Een
fout met privacygevoelige persoonsgegevens is snel gemaakt. Denk bijvoorbeeld aan het laten slingeren
van een USB-stick in de trein of op kantoor, of simpelweg door een briefje met inloggegevens voor
applicaties op het beeldscherm te plakken.’’
Door een hoge prioriteit toe te kennen aan informatiebeveiliging, wordt dit binnen de gehele organisatie
– en dus op alle niveaus en binnen elke afdeling – belangrijk gevonden. De gebruiksvriendelijkheid, van
bijvoorbeeld een softwareapplicatie, wordt door de leverancier gewaarborgd. Het is dus altijd aan te
raden zaken te doen met een leverancier die de klant centraal stelt.
Hoe kan ik, of mijn organisatie, mijn privacygevoelige informatie zo goed mogelijk beveiligen?
‘’Allereerst is het goed te melden dat alles begint bij bewustwording. Zowel bij het management als bij het
personeel. Door deze bewustwording voorkomt u onnodige beveiligingsrisico’s. Wanneer uw organisatie
actief met informatiebeveiliging bezig is, wordt er een risicoanalyse gedaan, maatregelen worden
genomen en de bewustwording wordt gecreëerd. Dankzij een adequate informatiebeveiliging, zal het uw
organisatie niet overkomen dat patiëntgegevens op straat komen te liggen, uw patiënten boos worden en
de reputatie van de organisatie risico loopt.’’
2
‘’Toch is het goed om te weten dat, ook bij het zakendoen met bedrijven die gevoelige informatie
verwerken, u als organisatie altijd verantwoordelijk blijft voor de gegevens. Het is wel belangrijk dat u
ervan uit kunt gaan dat ook uw gecertificeerde leverancier (van software) op een identieke manier met
informatiebeveiliging omgaat. Maar hoe komt u daar achter? Door zaken te doen met bedrijven die
werken volgens de ISO 27001 of NEN 7510 normering, weet u zeker dat er op een zorgvuldige manier met
uw data wordt omgegaan.’’
Maar staan informatiebeveiliging en gebruiksvriendelijkheid van softwareapplicaties niet op gespannen
voet met elkaar?
‘’Informatiebeveiliging hoeft naar mijn mening niet perse haaks te staan op het gebruikersgemak van een
software. Er zijn maar een aantal zaken die goed geregeld moeten worden om makkelijk en toch op een
veilige manier met privacygevoelige informatie om te gaan. Bezig zijn met veiligheid is niet het leukste
aspect van uw werk, maar het moet werkbaar blijven. Aan de andere kant is gebruiksvriendelijkheid
belangrijk, maar het moet wel veilig blijven.’’
Wie kijkt er eigenlijk mee in mijn data en hoe houd ik controle?
‘’Een belangrijke vraag, vind ik. Uw privacy moet absoluut niet onderschat worden natuurlijk. In mijn ogen
gaat informatiebeveiliging juist daarover. Het bewustwordingsproces met betrekking tot welke data
wordt vastgelegd en welke potentiële risico’s hierbij komen kijken is essentieel. Een van de potentiële
risico’s is het definiëren wie toegang tot de data hebben. Zowel intern als extern.’’
‘’Met informatiebeveiliging wordt duidelijk vastgelegd wie welke rechten hebben op toegang tot de
privacygevoelige informatie en hoe dit binnen de organisatie is gewaarborgd. Enkele vragen die u kunnen
helpen bij de bewustwording zijn:

Weten medewerkers binnen de organisatie welke informatie zij op basis van hun functie wel of
niet in mogen zien?

Weten medewerkers binnen de organisatie hoe ze om moeten gaan met (vertrouwelijke) of
privacygevoelige informatie?

Is er binnen de organisatie iemand verantwoordelijk gesteld voor informatiebeveiliging?

Wordt er binnen uw bedrijf regelmatig gesproken over informatiebeveiliging?
Een aantal tips die ik heb bij het waarborgen van informatiebeveiliging: stel beveiligingsrichtlijnen op als
organisatie. Die hebben niet alleen betrekking op de webapplicatie, maar ook op de beheeromgeving en
hard- en softwarevoorzieningen die noodzakelijk zijn om te webapplicatie te laten functioneren. Zo
kunnen er bijvoorbeeld eisen worden gesteld aan het zelf uitvoeren van controles. Denk bijvoorbeeld aan
het uit laten voeren van penetratietesten en het op orde hebben van gebruikers- en toegangsbeheer.’’
3
Is alles geregeld als mijn softwareleverancier gecertificeerd is?
‘’Nee, niet alles is hiermee geregeld. U bent als eigenaar van de privacygevoelige informatie nog steeds
verantwoordelijk voor het beheer van data en het proces van informatiebeveiliging binnen uw eigen
organisatie.
‘’Een onduidelijkheid is vaak dat men denkt dat de certificering direct iets zegt over de software die u
afneemt. Wanneer u zaken doet met een softwareleverancier die ISO 27001 of NEN 7510 gecertificeerd is,
zegt dat nog niet heel veel over de software die u afneemt van deze leverancier. Het zegt echter wel hoe
deze leverancier met uw privacygevoelige informatie omgaat en hoe zij, niet geheel onbelangrijk, met de
onderaannemers omgaan die door deze leverancier worden ingeschakeld.’’
Wat kan er allemaal misgaan als ik mijn informatiebeveiliging niet goed heb geregeld?
‘’Een algemeen bekend voorbeeld, is het voorbeeld dat ik eerder heb gegeven. Maar er zijn nog meer
voorbeelden:

Het GGD IJsselland kampt met een datalek. De organisatie stuurde persoonlijke informatie over
een familie uit Balkbrug per post op een onbeveiligde USB-stick van Zwolle naar Nijmegen.
Onderweg is de USB-stick kwijtgeraakt, meldde het AD.

De zorggegevens van 1900 inwoners van Amersfoort zijn, door een datalek bij de gemeente, in
verkeerde handen terecht gekomen. Ambtenaren hebben deze informatie ook nog eens
wekenlang voor zich gehouden.

Een ambtenaar verstuurde per abuis een e-mail naar iemand buiten de gemeente, met de
persoonlijke gegevens van inwoners van Amersfoort. Deze inwoners waren in behandeling bij een
zorginstantie. Het lek vond plaats eind januari 2016. De betrokken ambtenaren hebben het
incident pas 7 april 2016 gemeld bij de verantwoordelijke wethouder.’’
Sinds de Meldplicht Datalekken is ingegaan begin 2016, hebben er al meerdere incidenten
plaatsgevonden. Hiermee wordt duidelijk dat het beveiligen van informatie niet onderschat mag worden.
Een goede beveiliging, door gebruik te maken van een veilige software en het invoeren van de juiste
processen, is hierin essentieel. Naast het feit dat er veel risico’s zijn bij het slecht beveiligen van
informatie, maakt een goede beveiliging het werk ook juist gemakkelijker. Het is in ieder geval weer een
zorg minder.
4
Related documents
Eerste hulp bij datalekken
Eerste hulp bij datalekken
Tweede Kamer der Staten
Tweede Kamer der Staten
wat te doen bij een datalek ddma how to: 3 stappen, 5 tips bij
wat te doen bij een datalek ddma how to: 3 stappen, 5 tips bij
Datalekken - InstallatieWerk
Datalekken - InstallatieWerk
Meldplicht datalekken in werking getreden
Meldplicht datalekken in werking getreden
Bijlage 4: Informatie voor te interviewen interne
Bijlage 4: Informatie voor te interviewen interne
Privacywetgeving
Privacywetgeving
Loop voor op de concurrentie met een ISO 27001
Loop voor op de concurrentie met een ISO 27001
Help! Mijn gegevens zijn op internet gelekt
Help! Mijn gegevens zijn op internet gelekt
Bestelformulier 2016
Bestelformulier 2016
Wat betekent de meldplicht datalekken voor u?
Wat betekent de meldplicht datalekken voor u?
hoe omgaan met de meldplicht datalekken?
hoe omgaan met de meldplicht datalekken?
De jaren `20 van de vorige eeuw: artistieke revolutie, technische
De jaren `20 van de vorige eeuw: artistieke revolutie, technische
VORMING Een contextuele benadering van ziekte
VORMING Een contextuele benadering van ziekte
Checklist-meldplicht datalekken-voor-intern
Checklist-meldplicht datalekken-voor-intern
Privacyrisico`s onder controle?!
Privacyrisico`s onder controle?!
Eshuis SnelScan Informatiebeveiliging
Eshuis SnelScan Informatiebeveiliging
Kamervragen
Kamervragen
Veilig mailen in de zorg
Veilig mailen in de zorg
Download
advertisement